Co se za uplynulý měsíc odehrálo v oblasti kybernetické bezpečosti.
Datové úniky měsíce
Z pornowebu unikly stovky tisíc hesel
Neznámí útočníci napadli druhý největší erotický web Xhamster a ukradli z něj hesla a přihlašovací údaje přibližně 400 tisíc uživatelů. Bezpečnostní experti ale stále zjišťují, kdy k odcizení dat došlo. Uživatelé tohoto webu by si však rozhodně měli co nejdříve změnit heslo.
Uniklo přes 100 tisíc českých přístupových údajů
Na internetu lze najít nijak nechráněný textový soubor s českými přihlašovacími údaji (e-mail a heslo).
Podle dostupných informací data pochází z domácího herního obchodu XZone. Pokud jste zde nakoupili a přihlašovací údaje použili i na jiném webu, doporučujeme jejich okamžitou změnu.
400 milionů hesel z erotických seznamek
Z erotické seznamky Adultfriendfinder.com a dalších podobně zaměřených webových stránek společnosti Friend Finder odcizili neznámí útočníci 412 milionů osobních údajů.
V ukradených datových záznamech jsou uživatelská jména, e-mailové adresy, hesla a data poslední návštěvy. Zajímavé je, že podle webu LeakedSource je mezi těmito údaji i přibližně čtvrt milionu účtů spojených s českou doménou @seznam.cz.
Zranitelný Firefox
V prohlížeči Firefox ve verzích 41 až 50 (včetně verze 45 ESR) byla nalezena závažná chyba, která umožňuje vzdáleně spustit škodlivý kód. Chyba spočívá ve spouštění javascriptového kódu a vyskytuje se pouze ve verzi pro Windows. Společnost Mozilla problém potvrdila a oznámila, že se pracuje na opravě. Dočasně je možné se chránit například doplňkem NoScript.
Locky se šíří na Facebooku
Pokud na Facebooku obdržíte zprávu s grafickým souborem ve formátu SVG, rozhodně na něj neklikejte, a to ani kdyby byl odeslaný někým z vašich přátel. Tímto způsobem se totiž šíří ransomware Locky, který využívá SVG soubory k infikování počítačů.
Po kliknutí na soubor se stáhne downloader, který do počítače nahraje samotný ransowmare. Všechna hlavní bezpečnostní řešení ale už dokážou tento útok detekovat a zastavit.
Nejčastější zdroje infikování malwarem
Průzkum společnosti Kaspersky Lab potvrdil, že malware představuje nejběžnější bezpečnostní hrozbu, které uživatelé čelí. 41 % dotázaných také za vyřešení problému způsobeného malwarovým útokem muselo zaplatit, přičemž průměrná částka za jednu opravu přesáhla 3 000 Kč. Zajímavé je, že podstatná část napadených uživatelů (33 %) pak neví, jak se malware do jejich zařízení dostal. V ostatních případech jsou nejčastějším zdrojem infekce webové stránky.
Nový trik hackerů: Krádeže z bankomatů
Hackeři začínají stále častěji využívat zajímavý způsob útoku: získají přístup k počítači ovládajícímu bankomat, nainstalují do něj trojského koně a vše uvedou do „původního stavu“, aby průnik nebylo možné odhalit. Jakmile je bankomat naplněn bankovkami, zadají na klávesnici speciální kód a vyberou z přístroje všechny bankovky. Tyto útoky až donedávna probíhaly v Rusku nebo Asii. Nedávno kyberbezpečnostní společnost Group-IB upozornila, že odhalila činnost hackerské skupiny, která infikovala bankomaty ve dvanácti evropských zemích (například v Polsku, Nizozemsku, Rumunsku nebo Španělsku). Informaci potvrdili dva největší světoví výrobci bankomatů, společnosti Diebold Nixdorf a NCR Corp., kteří prohlásili, že útoky na ATM zaznamenali a už se svými zákazníky pracují na obraně před podobnými hrozbami.
Bitdefender proti ransomwaru
Není nejmenších pochyb, že ransomware patří k nejnebezpečnějším hrozbám v oblasti malwaru. Jen Cryptolocker vytěžil více než 600 milionů korun od nechráněných surfařů nebo od uživatelů používajících nedostatečnou antivirovou ochranu. Zajímavou novinku ale předvedl nedávno Bitdefender: vyvinul vakcínu proti ransomwaru a proti všem známým i neznámým útokům tohoto typu. Jejím základem je heuristika, která zabrání podezřelému chování ještě před samotným zašifrováním dat.
Pro ochranu uživatelů používá Bitdefender 4 typy ochrany:
- základní s využitím signatur (s aktualizacemi do 1 h),
- sandbox (analýzu ve virtuálním prostředí před spuštěním v OS),
- aktivní ochranu proti útokům nultého dne v produkčním prostředí,
- hloubkovou analýzu pomocí bezpečnostní sítě (Nimbus/ Gravity zone s imunizační dobou 3 sekundy).
Bitdefender se i proto může pochlubit, že doposud žádný z jeho zákazníků nebyl napaden ransomwarem.
Neuvěřitelný hack Linuxu
Zajímavou zranitelnost objevili dva španělští bezpečnostní experti v několika distribucích Linuxu, která staví celou oblast hackingu doslova na hlavu.
Hector Marco a Ismael Ripoll totiž zjistili, že prakticky do všech významných distribucí Linuxu (Red Hat Enterprise Linux, Ubuntu, Fedora, Debian…) je možné získat root přístup do systému pouhým podržením klávesy Enter po dobu přibližně 70 sekund - a to i v případě, že je systémová partition zašifrovaná! Zranitelnost souvisí se špatně naprogramovaným přihlašovacím skriptem, získala označení Cryptsetup a v databázích ji najdete jako CVE-2016-4484.
Další podrobnosti o této neuvěřitelné chybě, včetně návodu, jak ji opravit, najdete na webu hmarco.org, patřícímu jednomu z objevitelů (přímo na adrese jdem.cz/cp2s32).
Šifrované DDoS útoky
V oblasti DDoS se podle zprávy Kaspersky Lab DDoS intelligence novým trendem stává rostoucí počet útoků využívajících šifrování. Tento typ útoků bývá vysoce efektivní, což je dáno jejich obtížnou identifikací mezi celkovým nezávadným datovým tokem.
Důkazem tohoto narůstajícího trendu je i nový útok zneužívající skrz šifrovaný kanál zranitelnosti ve WordPressu. Útoky WordPress Pingback jsou známé již od roku 2014 a spadají do kategorie zesilujících útoků. Při nich je služba oběti napadena servery třetích stran, které využívají jejich zranitelností.
V případě WordPress Pingback představuje zranitelný server stránka vytvořená za pomoci redakčního systému WordPress CMS (většinou se jedná o blogy) s aktivní funkcí Pingback. Díky této funkci chodí autorům oznámení o jakékoliv aktivitě, která se váže k jejich příspěvkům. Útočník odešle na tyto stránky speciálně upravený HHTP požadavek s falešnou zpáteční adresou - ta patří oběti, která je následně zahlcena odpověďmi. Tímto způsobem je možné vytvořit silný HTTP GET flood útok i bez použití botnetu, čímž se útok značně zjednoduší a sníží se i náklady na jeho vytvoření. Nicméně zesílený HTTP GET požadavek má velmi specifickou hlavičku - User Agent -, díky níž lze nebezpečné požadavky v celkovém datovém provozu snadno identifikovat a blokovat. Ačkoliv nedávný útok, který zaznamenala společnost Kaspersky, fungoval na stejném principu, lišil se od běžného WordPress Pingback útoku využitím HTTPS namísto HTTP.
Nástroj proti bankovnímu malwaru
Analytici společnosti Eset detekovali malware, který byl použit pro cílený útok na britskou Tesco Bank a ohrozil i několik dalších finančních domů.
Podle aktivního monitoringu škodlivých kódů Threat Intelligence je trojský kůň Refete schopen nasměrovat své oběti na modifikované stránky internetového bankovnictví a získat od nich přihlašovací údaje k jejich bankovním účtům. V některých případech se také pokusil přimět oběti k instalaci mobilní komponenty tohoto škodlivého kódu, detekované společností Eset jako Android/Spy. Banker.
EZ. Tato mobilní verze malwaru byla použita i pro obcházení dvoufaktorové autentizace.
Škodlivý kód JS/Retefe se obvykle šíří jako příloha e-mailu, která navozuje dojem objednávky, faktury nebo podobného dokumentu. Jakmile je stažena, nainstaluje do napadeného zařízení několik složek včetně anonymní možnosti využívání služby Tor a využije je k nakonfigurování proxy cíleného na webové stránky bank.
Retefe rovněž přidává falešný certifikát bezpečnosti, který navozuje dojem, jako by byl vydán a ověřen známou certifikační autoritou Comodo.
Pro běžného uživatele je velmi obtížné tento podvod odhalit.
Společnost Eset připravila pro uživatele webovou stránku eset.com/int/ retefe-malware-checker, kde je možné si zdarma stáhnout nástroj, jenž automaticky prověří, zda systém není infikovaný.
Nové bezpečnostní hrozby pro rok 2017
Jaké nás v následujícím roce čekají bezpečnostní výzvy? Expertní tým společnosti Kaspersky Lab, Global Research and Analysis Team (GReAT), upozornil na nové hrozby, kterých se budeme bát v příštím roce.
Jako první je nutné zmínit tzv. indikátory napadení (IoCs), které dlouhodobě představovaly osvědčený způsob sdílení charakteristických znaků známých typů malwaru, umožňujících rozeznání aktivní infekce. To už však pro rok 2017 nemusí platit. Tým analytiků totiž odhalil ProjectSauron APT, malwarovou platformu, která na zakázku upraví funkce malwaru na míru každé oběti, čímž IoCs v podstatě ztrácí svoji funkci. V roce 2017 lze také očekávat nárůst malwaru usazeného v paměti, který zpravidla nezůstane v přístroji déle než do prvního restartu, po kterém je vymazán. Tento druh malwaru je navržen pro všeobecný průzkum a sběr osobních údajů, přičemž je útočníky nenápadně šířen tak, aby nebyl odhalen ani v dobře chráněném prostředí. Koncoví uživatelé by v následujícím roce měli pocítit přesun špehování do svých mobilních zařízení či pokusy o krádeže citlivých platebních informací.
Nárůst počtu útoků hrozeb tohoto typu lze očekávat především proto, že bezpečnostní firmy jen s obtížemi získávají plný přístup do mobilních operačních systémů za účelem analýzy. Zvýšený počet útoků lze očekávat rovněž na zařízení v internetu věcí (IoT), která jsou na trh dodávána bez dostatečného zabezpečení.
Zajímavým cílem pro počítačové zločince také bude průmyslová výroba. V současné době v celé řadě firem dochází k implementaci takzvaného Průmyslu 4.0, jehož součástí je i internetová propojenost výrobních provozů.
Bankovní malware útočí kvůli chybě v AdSense
Analytici Kaspersky Lab nedávno odhalili modifikaci bankovního trojského koně Svpeng. Skrýval se v programu AdSense společnosti Google, poskytujícím reklamu na webové stránky. Tento malware byl od půlky července detekován na více než 318 000 zařízeních s operačním systémem Android, přičemž nejvyšší hodnoty nově infikovaných zařízení dosahovaly 37 000 obětí za jeden den.
Útočníci zneužili programátorské chyby v prohlížeči Google Chrome pro Android. Cílili především na informace o platebních kartách nebo osobní data, jako například kontakty či historii hovorů. V současnosti už Google chyby opravil, a tak je možné o tomto útoku odhalit více detailů.
První známý útok trojana Svpeng byl odhalen v půlce července, kdy cílil na ruské internetové noviny. Jejich návštěvníkům s operačním systémem Android se trojský kůň v průběhu útoku nenápadně stáhl do mobilních zařízení. Experti během odkrývání tohoto útoku zjistili, že počátečním hybatelem útoku byla infikovaná reklama umístěná do programu Google AdSense. Reklama se zobrazovala zcela běžně na neinfikovaných stránkách, přičemž se malware začal stahovat, až když uživatel s mobilním zařízením využívajícím Android navštívil stránky přes prohlížeč Chrome.
Svpeng se maskoval jako důležitá aktualizace prohlížeče nebo oblíbená aplikace, čímž se snažil přesvědčit uživatele, aby jeho instalaci povolili.
Jakmile se malware spustil, zmizel ze seznamu nainstalovaných aplikací.
Následně požádal o udělení správcovských práv k zařízení, což zapříčinilo jeho obtížnější detekci. Zpočátku se zdálo, že útočníci našli způsob, jak úspěšně obejít některé klíčové bezpečnostní prvky Google Chrome pro OS Android. Za normálních okolností se totiž v prohlížeči při stahování APK (Android application package) souboru do mobilního zařízení přes externí webový odkaz zobrazí upozornění, že se stahuje potenciálně nebezpečný objekt. V tomto případě však zločinci objevili bezpečnostní trhlinu, která umožnila stažení APK souborů bez upozornění uživatelů.